Silver Needle in the Skype
Será que o eBay já entrou na competição contra o Google e a Microsoft para dominar o mundo?
http://blackhat.com/presentations/bh...-biondi-up.pdf
Bom, o conteúdo deste PDF não tem nada a ver com isto.
Mas vejam o que os criadores foram capazes de implementar no conhecido e amplamente utilizado software Skype:
- binary packing
- code obfuscation (harcoded-key xored code, encrypted code areas)
- partial IAT (import address table) replacement
- checksumers a.k.a. code integrity checkers (polymorphic, with random execution, randomized operators, random length, dummy mnemonics)
- network traffic (protocols) obfuscation
- anti-debugging technics
- and so on...
Após ver isto, e tendo em mente que o software não é open-source e que a empresa é sua própria certificadora, como podemos simplesmente acreditar e utilizá-lo? Segundo o CSO da Skype, Kurt Sauer, não há backdoors ou qualquer tipo de "trigger" (backdoors e afins) para que a polícia ou qualquer um consiga contornar a criptografia do software. (ref - http://www.networkingpipeline.com/bl...ty_pro_sk.html)
Bem, de acordo com a politica de privacidade do software (ref - http://www.skype.com/intl/pt/company...y_general.html), podemos ver o seguinte:
Código :
"Salvo como disposto abaixo, a Skype não venderá, alugará, trocará nem transferirá de
outra forma Dados Pessoais e/ou de Tráfego, nem Conteúdo de Comunicações, a terceiro
algum sem Sua autorização explícita, a menos que seja obrigada a fazê-lo segundo a
legislação aplicável ou por ordem de autoridades competentes."
Mas, logo abaixo segue:
Código :
A Skype sempre exigirá que esses terceiros tomem as medidas organizacionais e técnicas
adequadas a fim de proteger seus Dados Pessoais e Dados de Tráfego e respeitem a
legislação relevante. Observe que, não obstante o acima mencionado, caso uma autoridade
competente designada solicite que a Skype, ou um parceiro local da Skype responsável
perante tal autoridade, retenha e forneça tais Dados Pessoais e/ou de Tráfego, ou instale
equipamento de espionagem telefônica a fim de interceptar comunicações, a Skype e/ou seu
parceiro local fornecerá toda assistência e informação necessárias para atender tal
solicitação.
As informações coletadas no Website podem ser armazenadas e processadas em qualquer
país onde a Skype tenha instalações. A esse respeito, ou para fins de compartilhar ou
divulgar dados de acordo com este artigo 4, a Skype reserva o direito de transferir
informações fora do país do usuário. Ao usar o Software Skype ou o Serviço de VoIP, Você
consente com qualquer transferência de informação fora de seu país. Conforme a Skype
continua a desenvolver seus negócios, a empresa pode vender ou comprar subsidiárias ou
unidades comerciais. Em tais transações, bem como no caso de a Skype ou substancialmente
todos os seus ativos sejam adquiridos por terceiros, as informações pessoais dos usuários
do Skype serão geralmente um dos ativos comerciais transferidos. Reservamo-nos o direito
de incluir Suas informações pessoais, coletadas como um ativo, em qualquer transferência a
terceiros.
Ou seja, se todos ativos da Skype forem *comprados* por terceiros, *TODAS* informações pessoais serão parte dos *ATIVOS COMERCIAIS* transferidos.
Qual será o preço para comprar o Orkut ou o Skype? Ambos tem milhares (já se faz necessária uma unidade maior para contabilizar) de usuários.
Questões:
- Que tipo de dados essas empresas possuem?
- Quem pagaria por esses dados?
- Por quê pagaria por estes dados?
- Quais e que tipos de riscos um usuário corre ao ter seus dados expostos?
E conforme a EULA da Skype (ref - http://www.skype.com/intl/pt/company/legal/eula/):
Código :
2.3 Não é permitido fazer modificações. Você não realizará, causará, permitirá, nem
autorizará a modificação, criação de trabalhos derivados, tradução, engenharia reversa,
decompilação, desmontagem, nem hacking do Software Skype nem de qualquer parte do
mesmo.
Qual a tradução deste termo?
Você está de acordo?
Afinal, nossos dados estão seguros?
Qual seria o resultado de um exploit in-the-wild? Imaginem..
Podemos ir bem longe numa grande discussão, pois as perguntas e as suposições são praticamente infindáveis.
Mas não estou aqui para gerar polêmica, muito menos para criticar a Skype. Só quero saber a opinião de cada um. Leiam o PDF, comprovem cada detalhe do mesmo se necessário, e compartilhem sua opinião.
Mas podemos concordar em duas coisas *positivas*:
O software é maravilhoso e funciona perfeitamente. (pelo menos até agora)
"Só haverá segurança no momento em que o fator humano não estiver presente."
Re: Silver Needle in the Skype
show
talk.google.com
ahahaha!
